Geekly articles weekly

Buku Infrastruktur Keamanan Microsoft Azure

Buku ini memberikan informasi umum, pertimbangan desain, skenario penempatan, praktik terbaik, hasil survei teknologi, dan instruksi untuk membantu Anda menyusun presentasi komprehensif tentang kemampuan keamanan Azure.

Pengetahuan ahli tentang Azure atau PowerShell tidak diperlukan. Juga diasumsikan bahwa pembaca memiliki pengalaman dengan teknologi informasi kelas perusahaan dan tingkat kualifikasi yang memadai untuk bekerja di pusat data.

Hari ini kami menerbitkan bagian dari bab pertama buku ini. Anda dapat mengunduh versi lengkapnya secara gratis di sini .


Daftar isi


  • Keamanan Cloud - 1;
  • Perlindungan Identitas di Azure - 19;
  • Keamanan Jaringan Azure - 53;
  • Keamanan data dan penyimpanan - 85;
  • Perlindungan mesin virtual dari malware - 103;
  • Manajemen Kunci di Azure dengan Gudang Kunci - 119;
  • Internet of Things Security - 155;
  • Pemantauan lingkungan hibrida - 175;
  • Operasi dan manajemen di cloud - 191;

Keamanan cloud


Sebelum Anda mulai mempertimbangkan pokok utama buku ini, yaitu infrastruktur keamanan Microsoft Azure, penting untuk memahami tingkat keamanan apa yang dapat disediakan di cloud. Untuk mengetahui mengapa platform cloud Azure benar-benar andal, Anda perlu mempertimbangkan sejumlah faktor penting yang memengaruhi keamanan solusi di cloud. Keamanan di cloud adalah hasil dari upaya kolaborasi antara perusahaan Anda dan penyedia layanan cloud Anda. Bab ini membahas faktor-faktor penting yang akan membantu Anda memahami keterbatasan, tanggung jawab, dan kemampuan teknologi cloud untuk digunakan nanti sebagai platform yang andal untuk bisnis Anda.

Faktor-faktor penting yang memengaruhi keamanan cloud


Sebelum memulai implementasi sistem cloud skala penuh, penting bagi staf yang bertanggung jawab organisasi untuk memahami bagaimana keamanan bekerja dalam model cloud. Pemahaman ini perlu dikembangkan sebelum memulai perencanaan. Jika peserta tidak cukup terbiasa dengan fitur keamanan di cloud, maka keberhasilan seluruh proyek penerapan cloud mungkin berisiko.

Ketika merencanakan implementasi teknologi cloud, penting untuk mengevaluasi aspek-aspek keamanan berikut ini:

  • Kepatuhan
  • Manajemen risiko
  • Identitas dan Manajemen Akses
  • Keamanan Operasi
  • Perlindungan Endpoint
  • Perlindungan data

Masing-masing aspek ini membutuhkan perhatian. Kedalaman studi yang diperlukan untuk masalah individu tergantung pada karakteristik perusahaan Anda: misalnya, prioritas lembaga medis dan perusahaan manufaktur dapat sangat bervariasi. Pada bagian berikut, kami akan memeriksa masing-masing aspek ini secara lebih rinci.

Kepatuhan


Setiap organisasi memiliki persyaratan tertentu, dan ketika pindah ke cloud, penting untuk tidak melanggarnya. Sumber persyaratan ini mungkin aturan internal atau eksternal - misalnya, standar industri yang wajib. Penyedia layanan cloud harus siap untuk membantu pelanggan memenuhi persyaratan untuk penggelaran cloud. Dalam banyak kasus, pelanggan harus bergantung pada penyedia layanan cloud untuk memenuhi persyaratan.

Untuk membantu pelanggan memenuhi persyaratan saat ini, Microsoft menggunakan tiga metodologi berikut.

  • Akuntansi awal dari persyaratan yang diperlukan
    • Teknologi andal
    • Investasi dalam Proses Kepatuhan
    • Sertifikasi Pihak Ketiga
  • Membantu Pelanggan dengan Kepatuhan
    • Transparansi
    • Pilihan
    • Fleksibilitas
  • Bekerja sama dengan perusahaan terkemuka di berbagai industri
    • Pengembangan standar
    • Kolaborasi dengan badan legislatif dan regulator

Disarankan agar Anda bekerja sama dengan penyedia layanan cloud Anda untuk menganalisis persyaratan apa yang harus dipenuhi oleh organisasi Anda dan seberapa dekat yang ditawarkan penyedia layanan cloud dengan mereka. Juga sangat penting untuk memastikan bahwa penyedia layanan cloud telah memiliki pengalaman dalam mengimplementasikan layanan cloud yang paling aman dan andal yang memberikan kerahasiaan dan perlindungan tertinggi dari data klien.
Baca Selengkapnya: Untuk informasi lebih lanjut tentang bagaimana Microsoft membantu pelanggan memenuhi persyaratan kepatuhan, lihat artikel ini .

Manajemen risiko


Untuk keberhasilan implementasi sistem cloud, sangat penting bahwa klien dapat mempercayai sistem keamanan infrastruktur pemasok. Penyedia layanan cloud harus menerapkan dan secara ketat menegakkan kebijakan dan program manajemen risiko keamanan Internet. Ketika mengelola risiko di lingkungan cloud, penting untuk mempertimbangkan tingkat dinamismenya.

Microsoft telah berhasil menyediakan pelanggan dengan layanan online selama bertahun-tahun. Selama waktu ini, proses yang sangat efisien telah dikembangkan yang memungkinkan Anda untuk mengendalikan risiko baru ini. Sebagai bagian dari manajemen risiko, penyedia layanan cloud harus melakukan tugas-tugas berikut:

  • Identifikasi kerentanan lingkungan dan ancaman terhadapnya.
  • Analisis risiko kuantitatif.
  • Publikasikan data tentang risiko ke cloud.
  • Manajemen risiko berdasarkan analisis konsekuensi yang mungkin terjadi dan dampaknya terhadap bisnis.
  • Verifikasi keefektifan kemungkinan tindakan pencegahan dan analisis risiko residual.
  • Manajemen risiko berkelanjutan.

Sangat penting bahwa pelanggan secara aktif berkolaborasi dengan penyedia layanan cloud dan meminta mereka untuk memastikan transparansi proses yang maksimal. Dalam hal ini, pelanggan akan dapat menganalisis langkah-langkah yang diambil untuk melawan risiko dan mengevaluasi bagaimana mereka sesuai dengan tingkat kerahasiaan data dan tingkat perlindungan yang diperlukan untuk organisasi mereka.

Identitas dan Manajemen Akses


Di dunia saat ini, pengguna sering memiliki kesempatan untuk melakukan pekerjaan di mana saja di dunia menggunakan berbagai perangkat, sambil mengakses berbagai layanan cloud. Dalam keadaan seperti itu, keamanan identitas pengguna menjadi sangat penting. Saat menggunakan sistem berbasis cloud, justru identitas yang menjadi batas antara "miliknya" dan "milik yang lain". Identitas adalah bidang kendali untuk seluruh infrastruktur Anda, baik itu di tempat atau cloud. Identitas digunakan untuk mengontrol akses ke layanan apa pun dari perangkat apa pun dan memungkinkan Anda melacak dan menganalisis fitur penggunaan data.

Untuk menerapkan teknologi cloud dalam organisasi, perlu membiasakan diri dengan kemampuan yang tersedia untuk mengelola identitas dan akses, dan juga untuk memahami bagaimana metode ini akan memungkinkan Anda untuk berinteraksi dengan infrastruktur lokal Anda yang ada. Saat merencanakan identitas dan manajemen akses, penting untuk mempertimbangkan faktor-faktor berikut:

  • Persiapan Identitas
    • Persyaratan persiapan identitas tergantung pada model cloud computing yang digunakan: perangkat lunak sebagai layanan (SaaS), platform sebagai layanan (PaaS), atau infrastruktur sebagai layanan (IaaS).
    • Evaluasi kemungkinan otomatisasi persiapan identitas secara aman menggunakan infrastruktur lokal Anda yang ada.
  • Federasi
    • Analisis metode yang tersedia dan kemungkinan mengintegrasikan metode ini dengan infrastruktur lokal Anda yang ada.
  • Sistem masuk tunggal (SSO)
    • Tinjau persyaratan SSO organisasi Anda dan kemungkinan mengintegrasikan SSO dengan aplikasi Anda.
  • Manajemen Profil
    • Tinjau opsi solusi yang tersedia yang ditawarkan oleh penyedia layanan cloud Anda dan kesesuaiannya untuk organisasi Anda.
  • Kontrol akses
    • Mengevaluasi kemampuan kontrol akses data yang ditawarkan penyedia layanan cloud Anda.
    • Menerapkan kontrol akses berbasis peran (RBAC).

Keamanan Operasi


Untuk organisasi yang beralih ke teknologi cloud, penting untuk menyesuaikan proses internal yang sesuai, termasuk pemantauan keamanan, audit, respons insiden, dan pemeriksaan forensik. Platform berbasis cloud harus memungkinkan administrator TI untuk memantau status layanan secara real time untuk memantau kesehatan mereka dan dengan cepat pulih dari kegagalan.

Anda harus memastikan bahwa semua layanan yang digunakan dipantau dan dipelihara sesuai dengan perjanjian tingkat layanan (SLA) antara penyedia layanan cloud dan organisasi klien. Faktor-faktor lain yang memengaruhi keamanan cloud tercantum di bawah ini.

  • Pelatihan karyawan organisasi selama proses berlangsung.
  • Menerapkan standar dan praktik industri untuk operasi, seperti NIST SP 800-531.
  • Kelola informasi keamanan sesuai dengan standar industri seperti NIST SP 800-612.
  • Gunakan analitik ancaman yang disediakan oleh penyedia layanan cloud.
  • Pembaruan kontrol dan manajemen risiko yang berkelanjutan untuk meningkatkan keamanan operasi.

Perlindungan Endpoint


Keamanan infrastruktur penyedia layanan cloud bukan satu-satunya faktor yang menentukan keamanan cloud. Nanti dalam bab ini kita akan mempertimbangkan konsep tanggung jawab yang didistribusikan. Salah satu aspeknya adalah ketika menerapkan teknologi cloud, suatu organisasi diharuskan untuk memberikan keamanan titik akhir. Ketika memperkenalkan sistem cloud di perusahaan, disarankan untuk meningkatkan keamanan titik akhir, karena setelah transisi seperti itu mereka akan lebih sering membuka koneksi eksternal dan mengakses lebih banyak aplikasi yang dapat di-host oleh penyedia layanan cloud lainnya.

Target utama serangan adalah pengguna, dan melalui penggunaan titik akhir biasanya pengguna menerima informasi. Komputer yang berfungsi pengguna, smartphone-nya, perangkat apa pun yang Anda gunakan untuk mengakses sumber daya cloud adalah semua titik akhir. Penyerang tahu bahwa itu adalah pengguna yang merupakan tautan terlemah dalam rantai keamanan, dan mereka terus-menerus meningkatkan metode rekayasa sosial (misalnya, email phishing), yang tugasnya adalah memaksa pengguna untuk melakukan tindakan yang membahayakan titik akhir. Saat merancang keamanan titik akhir sebagai bagian dari keseluruhan strategi keamanan cloud, kami menyarankan Anda mengikuti panduan ini.

  • Selalu perbarui perangkat lunak titik akhir Anda.
  • Aktifkan pembaruan tanda tangan otomatis pada titik akhir.
  • Pantau akses ke sumber pembaruan perangkat lunak.
  • Pastikan bahwa pengguna akhir tidak memiliki hak administrator lokal.
  • Izinkan pengguna hanya hak minimum yang mereka butuhkan untuk bekerja, dan gunakan administrasi berbasis peran.
  • Tanggapi notifikasi dengan cepat dari titik akhir.

Perhatikan. Mengamankan akses istimewa adalah langkah penting dalam mengamankan bisnis Anda. Kami menyarankan Anda membaca artikel tentang workstation akses istimewa (PAW) di aka.ms/cyberpaw dan mempelajari lebih lanjut tentang metodologi Microsoft untuk melindungi aset yang paling berharga.

Perlindungan data


Dari perspektif keamanan, tujuan akhir saat memindahkan data ke cloud adalah untuk melindungi data di mana pun berada. Proses transfer data terdiri dari beberapa tahap. Langkah ditentukan oleh lokasi data pada titik waktu tertentu. Lihat diagram pada gambar:



Diagram menunjukkan langkah-langkah berikut:

  1. Data disimpan di perangkat pengguna. Data berada di titik akhir, yang dapat berupa perangkat apa pun. Penting untuk memastikan bahwa data yang disimpan pada perangkat pengguna yang digunakan untuk tujuan bisnis (skrip BYOD), serta pada perangkat perusahaan, harus dienkripsi.
  2. Data ditransfer dari perangkat pengguna ke cloud. Data harus dilindungi ketika meninggalkan perangkat pengguna. Ada banyak teknologi yang tersedia untuk membantu melindungi data terlepas dari lokasi, seperti Manajemen Hak Azure. Saluran data harus dienkripsi. Teknologi yang sesuai, seperti TLS, harus ditegakkan.
  3. Data disimpan di pusat data penyedia layanan cloud. Ketika data mengenai server penyedia layanan cloud, infrastruktur penyimpanan harus menyediakan redundansi dan perlindungan. Pastikan untuk mengetahui dengan tepat bagaimana penyedia layanan cloud mengimplementasikan enkripsi data selama penyimpanan, siapa yang bertanggung jawab atas manajemen kunci dan bagaimana redundansi data dipastikan.
  4. Data ditransfer dari cloud ke lingkungan di tempat. Dalam hal ini, rekomendasi yang diberikan untuk tahap 2. berlaku. Diperlukan untuk menyediakan enkripsi file itu sendiri dan lapisan transport.
  5. Data disimpan di lingkungan lokal. Mengamankan data di lingkungan lokal adalah tugas klien. Tahap kritis dari implementasinya adalah enkripsi data yang disimpan di pusat data perusahaan. Infrastruktur Anda harus menyediakan tingkat enkripsi, redundansi data, dan manajemen kunci yang diperlukan.

Faktor-faktor penting yang memengaruhi keamanan cloud
Dengan transisi ke penggunaan teknologi cloud, prinsip-prinsip lain mulai berlaku. Layanan cloud berbeda dari mesin virtual dan mainframe di tempat dengan waktu akses bersama dalam berbagai cara, termasuk skalabilitas, kecepatan, dan arsitektur. Karena itu, pendekatan mereka harus berbeda. Saat bekerja dengan penyedia layanan cloud (misalnya, saat menggunakan Azure), Anda disarankan untuk mempertimbangkan masalah berikut.

Layanan cloud yang dirancang dengan baik memungkinkan Anda untuk mengoperasikan mesin atau berhenti menggunakannya dalam beberapa menit atau jam. Banyak layanan jenis ini dapat mengatasi beban puncak, lebih dari 10 kali lebih tinggi dari normal dan beroperasi pada siang hari. Pengembangan perangkat lunak sekarang sangat cepat, dan perubahan kode mingguan (dan bahkan harian) telah menjadi norma. Oleh karena itu, pengujian harus dilakukan berdasarkan layanan kerja, tetapi tanpa menggunakan data kerja rahasia. Untuk organisasi apa pun yang beralih ke penggunaan teknologi cloud, penting untuk membangun hubungan saling percaya dengan penyedia layanan cloud dan menggunakan semua alat yang tersedia untuk menentukan dan mematuhi saling persyaratan yang saling diterima dalam hubungan ini.

Saya terkadang memberi teman saya contoh berikut. Jika pada tahun 90-an saya membutuhkan selusin server untuk proyek baru, mungkin perlu 4-6 bulan untuk menyusun rencana, memesannya, mengirimkan, menempatkan, menghubungkan, mengkonfigurasi dan menyebarkan, dan hanya setelah itu tim dapat mulai menguji versi kerja dari layanan . Hari ini, terima kasih kepada Azure, saya bisa melakukan ini dalam 30 menit, hanya menggunakan telepon.

Jim Molini
Manajer Program Senior, Keamanan C + E

Pembagian tanggung jawab


Di pusat data tradisional, perusahaan IT sendiri bertanggung jawab atas semua aspek infrastruktur. Ini adalah bagaimana lingkungan komputasi lokal telah bekerja sejak munculnya arsitektur client-server modern (dan bahkan lebih awal, di era mainframe). Jika jaringan, penyimpanan atau sistem komputasi tidak berfungsi sebagaimana mestinya, maka perusahaan IT-lah yang harus menetapkan penyebab dan memperbaiki masalah.

Dengan unit keamanan, situasinya mirip. Departemen keamanan berkolaborasi dengan departemen TI, dan bersama-sama mereka memberikan perlindungan untuk komponen infrastruktur TI. Departemen keamanan perusahaan menetapkan persyaratan, membahasnya dengan departemen TI, dan menentukan alat manajemen yang dapat diterapkan oleh infrastruktur dan operator TI. Selain itu, departemen keamanan menetapkan standar dan secara berkala mengaudit infrastruktur untuk kepatuhan dengan standar-standar ini.

Untuk pusat data yang berlokasi di luar lingkungan lokal, semua ini tetap valid. Namun, dengan munculnya lingkungan komputasi berbasis cloud publik, departemen TI dan keamanan memiliki mitra baru - penyedia layanan cloud. Penyedia tersebut memiliki infrastruktur TI sendiri dan diperlukan untuk memastikan kepatuhannya dengan persyaratan keamanan dan pengelolaan.

Ini berarti bahwa Anda tidak hanya perlu mempersiapkan dan mempertimbangkan persyaratan keamanan Anda sendiri, tetapi juga memiliki kemampuan yang cukup untuk memantau infrastruktur keamanan penyedia layanan cloud dan melacak operasi di dalamnya. Kemampuan yang diperlukan untuk pemantauan tersebut tergantung pada model keamanan cloud yang digunakan perusahaan Anda dalam infrastruktur penyedia layanan.

Komputasi awan


Pada bagian ini, kami meninjau secara singkat topik komputasi awan untuk melanjutkan dari gagasan umum tentang apa yang terkait dengannya dan apa yang tidak. Bagian ini akan membantu Anda memahami bagaimana keamanan bekerja di cloud, pendekatan mana yang digunakan di pusat data yang familiar tetap valid, dan mana yang telah berubah.

Definisi Cloud Diterbitkan oleh NIST


Untuk beberapa waktu tidak ada definisi formal untuk istilah "komputasi awan". Tentu saja, orang-orang dengan pengalaman industri di bawah "cloud" mengerti Internet. Bagi sebagian orang, esensi komputasi awan adalah penyediaan layanan melalui Internet.

Beberapa analis menggunakan istilah utilitas komputasi ("komputasi sebagai layanan utilitas"), sehingga berfokus pada model pemberian layanan. Dalam model komunal, ada serangkaian peluang yang tersedia untuk semua orang. Pembayaran dibebankan sesuai dengan jumlah sumber daya yang digunakan. Ini sangat mirip dengan konsumsi, misalnya, listrik dan gas oleh individu.

Pihak berwenang dan perusahaan dari banyak negara saat ini menggunakan definisi komputasi awan yang diterbitkan oleh NIST. Mereka menganggap itu yang paling dapat diandalkan dan bermanfaat. NIST adalah Institut Nasional Standar dan Teknologi.

NIST telah menerbitkan "lima karakteristik dasar" komputasi awan, serta mendefinisikan model layanan cloud dan penyebaran cloud. Formulasi ini memiliki pemahaman yang sangat maju tentang sifat komputasi awan.

Gambar tersebut menunjukkan lima fitur dasar, model layanan cloud, dan model penyebaran cloud.



Fitur Cloud Computing


NIST menyoroti lima karakteristik dasar komputasi awan berikut ini:

  • Katering mandiri tersedia berdasarkan permintaan. Kemampuan platform cloud untuk menyediakan sumber daya yang diperlukan konsumen layanan cloud tanpa interaksi dengan mereka. Contoh penerapan peluang seperti itu: seorang konsumen mengisi formulir web yang menunjukkan persyaratan sumber dayanya, dan penyedia layanan cloud memilih yang diperlukan.
  • Akses jaringan yang luas. Kemampuan untuk mengakses sumber daya cloud dari hampir di mana saja di dunia dari perangkat apa pun. Penting untuk dicatat bahwa kemampuan akses jaringan yang kuat adalah bagian dari definisi komputasi awan, dan menyediakan akses tersebut merupakan prasyarat penting untuk penerapan yang sukses. Tetapi paragraf ini tidak berarti bahwa akses harus selalu terbuka untuk semua. Ketika Anda membaca buku ini, Anda akan belajar bahwa kontrol akses adalah bagian penting dari sistem cloud mana pun.
  • Dukungan untuk perubahan cepat.Ini berarti bahwa konsumen layanan cloud dapat dengan cepat mendapatkan sumber daya cloud sesuai kebutuhan, dan kemudian mengembalikannya ke kumpulan sumber daya cloud bersama saat kebutuhan ini menghilang. Layanan cloud dirancang agar konsumen dapat dengan cepat menerima dan mengembalikan sumber daya. Dari sudut pandang klien, jumlah sumber daya yang dapat diperoleh dari cloud praktis tidak terbatas. Jika konsumen layanan cloud yakin bahwa ia akan membutuhkan lebih banyak sumber daya segera, ia dapat meminta mereka dari pemasok untuk mengatasi beban yang akan datang. Elastisitas dinamis semacam itu didasarkan pada sumber daya yang tidak terbatas dari sudut pandang konsumen.
  • . (). , . , , . . ( .)
  • . , — , , , , ( ). , — , .


, NIST, . , . , .

:

  • (laaS). , . , , . , laaS , .
  • (PaaS). , « », . , ( , ) (, -), , . ( ) , .
  • (SaaS). « ». , . « » , . Microsoft Exchange Server ( ) Microsoft SharePoint ( ). .


NIST :

  • . , . — , . , . , — : . .
  • . - . — ( ). , , , NIST ( ). ( , — , , ).

    ? , - .
  • . . — , . — .

    , -, . - , — . — , VPN- WAN-.
  • . , . — , , .

Azure


, . Azure . Azure , Security Development Lifecycle (SDL), « ». Azure , .

Azure : , , , . 1-4 Azure.



— . , Azure. . , , Azure. , - .
. Azure (RBAC). RBAC : azure.microsoft.com/documentation/articles/role-based-access-control-configure.
, , Azure. Azure , . , , .

( , ). Azure — , . , Azure.

, , , Azure. , (, -), (ACL). , (NSG).

. Azure Active Directory 2, « Azure». 3, « Azure».

, Azure Azure. Microsoft. — , . — (SLA).


Anda dapat mengunduh versi lengkap buku ini secara gratis dan mempelajarinya di tautan di bawah ini.

Unduh

Source: https://habr.com/ru/post/id423177/

More articles:


All Articles